JP7246032B2 - In-vehicle secure storage system - Google Patents

In-vehicle secure storage system Download PDF

Info

Publication number
JP7246032B2
JP7246032B2 JP2021532763A JP2021532763A JP7246032B2 JP 7246032 B2 JP7246032 B2 JP 7246032B2 JP 2021532763 A JP2021532763 A JP 2021532763A JP 2021532763 A JP2021532763 A JP 2021532763A JP 7246032 B2 JP7246032 B2 JP 7246032B2
Authority
JP
Japan
Prior art keywords
vehicle
unauthorized access
area
access
storage system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021532763A
Other languages
Japanese (ja)
Other versions
JPWO2021010143A5 (en
JPWO2021010143A1 (en
Inventor
信治 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2021010143A1 publication Critical patent/JPWO2021010143A1/ja
Publication of JPWO2021010143A5 publication Critical patent/JPWO2021010143A5/ja
Application granted granted Critical
Publication of JP7246032B2 publication Critical patent/JP7246032B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0727Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a storage system, e.g. in a DASD or network based storage system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/023Free address space management
    • G06F12/0238Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
    • G06F12/0246Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0769Readable error formats, e.g. cross-platform generic formats, human understandable formats
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/72Details relating to flash memory management
    • G06F2212/7204Capacity control, e.g. partitioning, end-of-life degradation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

本開示は、ホスト装置とストレージ装置間でデータ転送を行う車載セキュアストレージシステムに関する。 The present disclosure relates to an in-vehicle secure storage system that transfers data between a host device and a storage device.

車載システムの分野において、1車両に搭載される多数のECU(Electronic Control Unit:電子制御ユニット)は、現在統合される方向にある。多数のECUが統合されると、個々のECUに接続されるストレージも統合されることが必要となってくる。 BACKGROUND ART In the field of in-vehicle systems, a large number of ECUs (Electronic Control Units) mounted on one vehicle are currently being integrated. When many ECUs are integrated, it becomes necessary to integrate the storage connected to each ECU.

車載システムの分野におけるストレージでは、不揮発性メモリを利用するSSDやSDカードを用いるものが主流である。SDカードとSDカード対応ホストに関する技術は、例えば、特許文献1に開示されている。また、ECUにおいても高速シリアルインターフェースとしてPCI Express(登録商標: 以下、PCIe と称する)が現在、使用されている。 Storage in the field of in-vehicle systems mainly uses SSDs and SD cards that use non-volatile memory. Techniques relating to SD cards and SD card-compatible hosts are disclosed in, for example, Japanese Unexamined Patent Application Publication No. 2002-200010. Also, in ECUs, PCI Express (registered trademark: hereinafter referred to as PCIe) is currently used as a high-speed serial interface.

特開2006-209744号公報JP 2006-209744 A

本開示は、ストレージ装置への不正アクセスやストレージ装置の不具合を簡易に且つ迅速に検出し、その検出結果を適切に利用し得る車載セキュアストレージシステムを提供することを目的とする。 An object of the present disclosure is to provide an in-vehicle secure storage system that can easily and quickly detect unauthorized access to a storage device and malfunction of the storage device, and appropriately utilize the detection results.

本開示の車載セキュアストレージシステムは、コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとを有する車載セキュアストレージシステムである。コントローラは、不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、不正アクセスまたは不具合の種類に応じて、所定の処理を行う。 The in-vehicle secure storage system of the present disclosure is an in-vehicle secure storage system that includes a storage device having a controller, a nonvolatile memory, and an interface, and an electronic control unit that electronically controls the vehicle. After judging that unauthorized access or malfunction has occurred in the nonvolatile memory, the controller performs predetermined processing according to the type of the unauthorized access or malfunction.

本開示の車載セキュアストレージシステムを用いることにより、ストレージ装置への不正アクセスやストレージ装置の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。 By using the in-vehicle secure storage system of the present disclosure, unauthorized access to the storage device and malfunction of the storage device can be detected easily and quickly, and the detection results can be used appropriately.

1は、実施の形態1に係る車載セキュアストレージシステムのブロック図である FIG. 1 is a block diagram of an in-vehicle secure storage system according to Embodiment 1. FIG . 図2は、実施の形態1に係る車載セキュアストレージシステムにおける事前処理のフローチャートである。FIG. 2 is a flowchart of pre-processing in the in-vehicle secure storage system according to the first embodiment. 図3は、実施の形態1に係る車載セキュアストレージシステムにおける、不正アクセスチェック処理を含む基本的処理のフローチャートである。FIG. 3 is a flowchart of basic processing including unauthorized access check processing in the in-vehicle secure storage system according to the first embodiment. 図4は、実施の形態1に係る車載セキュアストレージシステムにおける、不具合チェック処理のフローチャートである。FIG. 4 is a flow chart of defect check processing in the in-vehicle secure storage system according to the first embodiment. 図5は、不正アクセス・不具合の種類、定義、及び内容の一覧表である。FIG. 5 is a list of types, definitions, and contents of unauthorized accesses/defects.

以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。 Hereinafter, embodiments will be described in detail with reference to the drawings as appropriate. However, more detailed description than necessary may be omitted. For example, detailed descriptions of well-known matters and redundant descriptions of substantially the same configurations may be omitted. This is to avoid unnecessary verbosity in the following description and to facilitate understanding by those skilled in the art.

なお、発明者(ら) は、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。 It is noted that the inventor(s) provide the accompanying drawings and the following description in order for those skilled in the art to fully understand the present disclosure, which are intended to limit the claimed subject matter. not something to do.

[本開示に至る経緯]
従来、車載ストレージシステムにおいて、ストレージ装置に対する不正アクセス、不正な書き込み、及び、不正な改竄等の不正処理(不正行為)に対するチェック及び検出は、ホスト装置であるECU側のドライバ若しくはコントローラにより、行われている。ストレージ装置における不具合のチェック及び検出も同様に、ホスト装置であるECU側のドライバ若しくはコントローラにより行われている。また、データ改竄については、ストレージ装置の内部を全てチェックして、不正な改竄の発生の可能性について確認を行った後に、実際に改竄チェックを行うこともあった。[Background to this disclosure]
Conventionally, in an in-vehicle storage system, checking and detection of unauthorized processing (fraudulent acts) such as unauthorized access to the storage device, unauthorized writing, and unauthorized tampering are performed by a driver or controller on the side of the ECU, which is the host device. ing. Similarly, checking and detection of defects in the storage device are also performed by a driver or controller on the side of the ECU, which is the host device. Also, with regard to data tampering, there have been cases where the inside of the storage device is entirely checked to confirm the possibility of occurrence of unauthorized tampering, and then an actual tampering check is performed.

ストレージ装置に対して不正アクセス等が生じた場合に、ホスト装置が不正アクセス等の発生した領域やアドレスを正確に特定することは決して容易なことではなく、また特定するには所定の時間が掛かる。特に、上述のデータ改竄に関して、ストレージ装置の内部を全てチェックすること、及び、改竄の可能性の確認後に実際に改竄チェックを行うことには、時間もコストも必要になる。そうすると、ストレージ装置に対する不正アクセスや不正な改竄からある程度時間が経過した後でしか、ホスト装置は実際の検出を行えないことになり、結局不正行為や不具合による影響が拡大しがちとなってしまう。 When unauthorized access occurs to a storage device, it is not easy for the host device to accurately identify the area or address where the unauthorized access occurred, and it takes a certain amount of time to identify it. . In particular, with respect to the above-described data tampering, it takes time and cost to check all the inside of the storage device and to actually check for tampering after confirming the possibility of tampering. In this case, the host device can actually perform detection only after a certain amount of time has passed since the unauthorized access or unauthorized tampering with the storage device.

発明者は、上述の問題点を解決する本開示に係る車載セキュアストレージシステムを開発した。本開示に係る車載セキュアストレージシステムは、ストレージ装置に対する不正処理(不正行為)、及び、ストレージ装置における不具合に対するチェック及び検出を、概略、自らにより(即ち、ストレージ装置により)行う。 The inventor has developed an in-vehicle secure storage system according to the present disclosure that solves the above problems. The in-vehicle secure storage system according to the present disclosure generally performs fraudulent processing (fraudulent acts) on the storage device and checks and detects defects in the storage device by itself (that is, by the storage device).

よって、本開示に係る車載セキュアストレージシステムにおいては、不正アクセス等が発生したストレージ装置上の領域やアドレスが容易且つ迅速に特定され、不正アクセス等の直後に、若しくは不正アクセス等の発生中に、ホスト装置は不具合を把握できる。よって、ホスト装置による対処が早まり不正行為又は不具合による影響は最小化される。更には、ホスト装置は不正行為又は不具合による影響を外部に全く出さないことも、可能となり得る。 Therefore, in the in-vehicle secure storage system according to the present disclosure, the area or address on the storage device where unauthorized access or the like has occurred can be easily and quickly specified, and immediately after or during the occurrence of unauthorized access or the like, The host device can grasp the failure. Thus, the host device can react faster and the impact of fraud or failure is minimized. Furthermore, it may be possible for the host device to have no external effects due to fraudulent actions or malfunctions.

[実施の形態1]
以下、図面を参照して本発明の実施の形態1に係る車載セキュアストレージシステムを説明する。[Embodiment 1]
An in-vehicle secure storage system according to Embodiment 1 of the present invention will be described below with reference to the drawings.

[1.1.車載セキュアストレージシステムの構成]
1は、実施の形態1に係る車載セキュアストレージシステム2のブロック図である。図1に示す車載セキュアストレージシステム2は車載システムである
[1.1. Configuration of in-vehicle secure storage system]
FIG. 1 is a block diagram of an in-vehicle secure storage system 2 according to Embodiment 1. As shown in FIG. The in-vehicle secure storage system 2 shown in FIG. 1 is an in-vehicle system.

1に示す本実施の形態に係る車載セキュアストレージシステム2は、車載ECU20と、ストレージ装置4とを含む。ストレージ装置4は、コントローラ6と、NAND型フラッシュメモリ等で構成される不揮発性メモリ12とを含み、コントローラ6は、メインバスインタフェース8とサイドバンドインタフェース10とを備える。車載ECU20も同様に、メインバスインタフェース22とサイドバンドインタフェース24とを備える。
The in-vehicle secure storage system 2 according to the present embodiment shown in FIG. 1 includes an in-vehicle ECU 20 and a storage device 4 . The storage device 4 includes a controller 6 and a non-volatile memory 12 such as a NAND flash memory. The controller 6 includes a main bus interface 8 and a sideband interface 10 . The in-vehicle ECU 20 similarly includes a main bus interface 22 and a sideband interface 24 .

車載セキュアストレージシステム2は、高速シリアルインターフェースとしてPCIeを利用しており、車載ECU20のメインバスインタフェース22、及び、ストレージ装置4のメインバスインタフェース8は、PCIeバス14に接続する。PCIeバス14は、WiFi(登録商標)等に準拠する外部通信モジュール18とも接続しているため、車載セキュアストレージシステム2は、外部通信モジュール18を経由して、例えば、外部のクラウドストレージとデータ通信をすることができる。
また、車載ECU20のサイドバンドインタフェース24と、ストレージ装置4のサイドバンドインタフェース10とは、サイドバンド用バス(SDバス)16を介して接続して、データ通信を行う。The in-vehicle secure storage system 2 uses PCIe as a high-speed serial interface, and the main bus interface 22 of the in-vehicle ECU 20 and the main bus interface 8 of the storage device 4 are connected to the PCIe bus 14 . Since the PCIe bus 14 is also connected to an external communication module 18 conforming to WiFi (registered trademark) or the like, the in-vehicle secure storage system 2 communicates data with, for example, an external cloud storage via the external communication module 18. can do
The sideband interface 24 of the in-vehicle ECU 20 and the sideband interface 10 of the storage device 4 are connected via a sideband bus (SD bus) 16 for data communication.

ストレージ装置4における不揮発性メモリ12は、複数の論理領域に分割される。更に、不揮発性メモリ12は、コントローラ6によりデータの入力、出力、及び格納に関して制御される。 The nonvolatile memory 12 in the storage device 4 is divided into multiple logical areas. In addition, non-volatile memory 12 is controlled by controller 6 with respect to data input, output, and storage.

ストレージ装置4におけるコントローラ6は、不揮発性メモリ12へのデータの入力、出力、及び格納に関する制御を行う。従って、後で説明するように、コントローラ6は、不揮発性メモリ12への不正アクセスのチェックや、不揮発性メモリ12における不具合のチェックも行う。なお、ストレージ装置4は、例えばSDカード等の情報記録媒体である。 A controller 6 in the storage device 4 controls input, output, and storage of data to the nonvolatile memory 12 . Therefore, as will be described later, the controller 6 also checks for unauthorized access to the nonvolatile memory 12 and checks for defects in the nonvolatile memory 12 . The storage device 4 is an information recording medium such as an SD card, for example.

車載セキュアストレージシステム2は、周辺機器として、ルームランプ26、モニタ28、マイク30、及び、スピーカ32を備え、車載ECU20はそれら周辺機器と接続する。ルームランプ26は、車両内の照明装置であり、車載ECU20が運転者に伝えるべき信号やメッセージを、照明の点滅や色変更などの形式により表わす。モニタ28は、車載ECU20が運転者に伝えるべき信号やメッセージを、画像の形式により表す。加えて、運転者は、モニタ28の画面への簡単な操作により、情報を車載ECU20へ入力する。スピーカ32は、車載ECU20が運転者に伝えるべき信号やメッセージを、音声の形式により表わす。また、運転者は、スピーカ32からの音声を受けて、マイク30への簡単な発話により、情報を車載ECU20へ入力する。 The in-vehicle secure storage system 2 includes a room lamp 26, a monitor 28, a microphone 30, and a speaker 32 as peripheral devices, and the in-vehicle ECU 20 connects with these peripheral devices. The room lamp 26 is a lighting device in the vehicle, and indicates a signal or message that the in-vehicle ECU 20 should convey to the driver in the form of blinking or changing color of the lighting. The monitor 28 displays signals and messages that the in-vehicle ECU 20 should convey to the driver in the form of images. In addition, the driver inputs information to the in-vehicle ECU 20 by simply operating the screen of the monitor 28 . The speaker 32 expresses signals and messages that the in-vehicle ECU 20 should convey to the driver in the form of sound. Also, the driver receives the sound from the speaker 32 and inputs information to the in-vehicle ECU 20 by simple speech into the microphone 30 .

[1.2.車載セキュアストレージシステムの動作]
[1.2.1.車載セキュアストレージシステムにおける事前処理]
図2は、本実施の形態に係る車載セキュアストレージシステム2における事前処理のフローチャートである。事前処理は、典型的には、車載セキュアストレージシステム2が出荷される前に開始される(ステップS02)。事前処理では、先ず、ストレージ装置4の初期化処理が行われる(ステップS04)。ストレージ装置4の初期化処理は、不揮発性メモリ12の物理アドレスと、ホストである車載ECUがアクセスする際の論理アドレスとの関係を示す論物変換テーブルを、コントローラ6が作成してコントローラ6内のRAM(図示しない)へ格納する処理を含む。[1.2. Operation of in-vehicle secure storage system]
[1.2.1. Pre-processing in in-vehicle secure storage system]
FIG. 2 is a flowchart of pre-processing in the in-vehicle secure storage system 2 according to this embodiment. Pre-processing is typically started before the in-vehicle secure storage system 2 is shipped (step S02). In the pre-processing, first, initialization processing of the storage device 4 is performed (step S04). In the initialization processing of the storage device 4, the controller 6 creates a logical-to-physical conversion table that indicates the relationship between the physical address of the nonvolatile memory 12 and the logical address when the in-vehicle ECU, which is the host, accesses the table. including processing for storing in a RAM (not shown).

次に、車載ECU20が、不揮発性メモリ12上に論理領域を追加するか否かを判断する(ステップS08)。論理領域を追加するのであれば(ステップS08・Yes)、ホストである車載ECU20が、必要なサイズを指定して領域確保をストレージ装置4のコントローラ6に指示する(ステップS10)。ストレージ装置4のコントローラ6は、指定されたサイズを確保し、その論理領域の領域IDをホストである車載ECU20に通知する(ステップS12)。 Next, the in-vehicle ECU 20 determines whether or not to add a logic area to the nonvolatile memory 12 (step S08). If a logical area is to be added (step S08, Yes), the in-vehicle ECU 20, which is the host, designates the required size and instructs the controller 6 of the storage device 4 to secure the area (step S10). The controller 6 of the storage device 4 secures the specified size, and notifies the host-mounted ECU 20 of the area ID of the logical area (step S12).

不揮発性メモリ12上に論理領域を追加する必要がある限り(ステップS08・Yes)、ステップS10とステップS12が繰り返される。不揮発性メモリ12上に論理領域を追加する必要がなくなれば(ステップS08・No)、コントローラ6内に格納されていた論物変換テーブルを不揮発性メモリ12に記録した後に、事前処理が終了する(ステップS14)。 Steps S10 and S12 are repeated as long as it is necessary to add a logical area on the nonvolatile memory 12 (step S08, Yes). If it is no longer necessary to add a logical area to the nonvolatile memory 12 (step S08, No), the preprocessing ends after the logical-to-physical conversion table stored in the controller 6 is recorded in the nonvolatile memory 12 ( step S14).

[1.2.2.車載セキュアストレージシステムにおける不正アクセスチェック処理]
図3は、本実施の形態に係る車載セキュアストレージシステム2における、不正アクセスチェック処理を含む基本的処理のフローチャートである。基本的処理が開始すると(ステップS20)、先ず、ストレージ装置4の初期化処理が行われる(ステップS22)。ストレージ装置4における不揮発性メモリ12は、論理的に1つ以上の領域(論理領域)を持っており、よって初期化処理では、夫々の領域に適した制御がなされるように設定される。[1.2.2. Unauthorized access check processing in in-vehicle secure storage system]
FIG. 3 is a flowchart of basic processing including unauthorized access check processing in the in-vehicle secure storage system 2 according to this embodiment. When the basic processing starts (step S20), first, the initialization processing of the storage device 4 is performed (step S22). The non-volatile memory 12 in the storage device 4 logically has one or more areas (logical areas), so the initialization process is set so that appropriate control is performed for each area.

不正アクセスチェック処理を含む基本的処理では、基本的処理が終了であるのか否か(ステップS24)、終了でないならば(ステップS24・No)、車載ECU20からストレージ装置4へのアクセスが有るか否か(ステップS26)が、繰り返して確認される。このステップS26は、ストレージ装置4のコントローラ6では、不揮発性メモリ12へアクセスするための命令が車載ECU20から来たか否かを確認する、という形で行われる。 In the basic processing including the unauthorized access check processing, it is determined whether or not the basic processing has ended (step S24). (step S26) is repeatedly confirmed. This step S<b>26 is performed by the controller 6 of the storage device 4 confirming whether or not an instruction for accessing the nonvolatile memory 12 has come from the vehicle-mounted ECU 20 .

基本的処理にて車載ECU20からストレージ装置4へのアクセスが有る場合(ステップS26・Yes)、ストレージ装置4のコントローラ6は、解析により不正アクセスチェックを行う(ステップS28)。基本的処理にて不正アクセスが無いと判断した場合には(ステップS30・No)、更に次のアクセスの発生が待たれる。基本的処理にて不正アクセスが有ると判断した場合には(ステップS30・Yes)、ストレージ装置4のコントローラ6、及び車載ECU20は、不正アクセスに応じた処理を行う(ステップS32)。ここで「不正アクセスチェック」(ステップS28)及び「不正アクセスに応じた処理」(ステップS32)の詳細については後で図5を用いつつ説明する。 If there is access from the in-vehicle ECU 20 to the storage device 4 in the basic processing (step S26, Yes), the controller 6 of the storage device 4 performs unauthorized access check by analysis (step S28). If it is determined in the basic processing that there is no unauthorized access (step S30, No), the occurrence of the next access is further awaited. When it is determined that there is unauthorized access in the basic processing (step S30, Yes), the controller 6 of the storage device 4 and the in-vehicle ECU 20 perform processing according to the unauthorized access (step S32). Here, the details of "unauthorized access check" (step S28) and "processing in response to unauthorized access" (step S32) will be described later with reference to FIG.

基本的処理が終了であれば(ステップS24・Yes)、処理の全体は終了する(S34)。 If the basic processing has ended (step S24, Yes), the entire processing ends (S34).

[1.2.3.車載セキュアストレージシステムにおける不具合チェック処理]
図4は、本実施の形態に係る車載セキュアストレージシステム2における、不具合チェック処理のフローチャートである。車載セキュアストレージシステム2は、基本的処理時に図3に示す不正アクセスチェック処理を実行する。これに加えて、車載セキュアストレージシステム2は、タイマによる割り込み或いはホストである車載ECU20からのアクセスをトリガにして、図4に示す不具合チェック処理の実行を開始する(ステップS40)。[1.2.3. Defect check processing in in-vehicle secure storage system]
FIG. 4 is a flowchart of defect check processing in the in-vehicle secure storage system 2 according to this embodiment. The in-vehicle secure storage system 2 executes unauthorized access check processing shown in FIG. 3 during basic processing. In addition, the in-vehicle secure storage system 2 is triggered by an interrupt by a timer or access from the in-vehicle ECU 20, which is a host, and starts execution of the trouble check process shown in FIG. 4 (step S40).

ストレージ装置4のコントローラ6は、先ず、不揮発性メモリ12上の論理領域の数Num=Xを取得する(ステップS42)。論理領域が無い(即ち、ゼロである)ならば(ステップS44・No)、不具合チェック処理は終了する(ステップS60)が、論理領域が有るならば(ステップS44・Yes)、ストレージ装置4のコントローラ6は、領域カウンタCをインクリメントする(ステップS46)。なお、論理領域が無い場合とは不揮発性メモリ12がコントローラ6のアクセスを遮断している場合などが挙げられる。領域カウンタCがNum(論理領域の数)を超えていないならば(ステップS48・No)、ストレージ装置4のコントローラ6は、C番目の論理領域内に不具合(即ち、異常)がないかどうかチェック(即ち、確認)する(ステップS50)。 The controller 6 of the storage device 4 first acquires the number Num=X of logical areas on the nonvolatile memory 12 (step S42). If there is no logical area (that is, it is zero) (step S44, No), the defect check process ends (step S60). 6 increments the area counter C (step S46). The case where there is no logic area includes the case where the nonvolatile memory 12 blocks the access of the controller 6 . If the area counter C does not exceed Num (the number of logical areas) (step S48, No), the controller 6 of the storage device 4 checks whether there is any defect (that is, abnormality) in the Cth logical area. (ie, confirm) (step S50).

不具合チェック処理にて不具合が無いと判断されれば(ステップS52・No)、領域カウンタCのインクリメント処理(ステップS46)以降が繰り返される。不具合チェック処理にて不具合が有ると判断されれば(ステップS52・Yes)、不具合に応じた処理が実施される(ステップS54)。不具合に応じた処理は、リカバリ、通知、運転者への指示などを含む。 If it is determined that there is no problem in the problem check process (step S52, No), the increment process of the area counter C (step S46) and subsequent steps are repeated. If it is determined that there is a problem in the problem check process (step S52, Yes), a process corresponding to the problem is performed (step S54). The processing according to the malfunction includes recovery, notification, instruction to the driver, and the like.

ステップS54の後、不具合チェック処理はそのまま終了(ステップS60)に向かってもよい。また、ステップS54の後、図4のフロー図にて点線及び矢印で示すように、不具合チェック処理は領域カウンタCのインクリメント処理(ステップS46)の直前に戻ってもよい。この場合、不具合チェック処理は、領域カウンタCのインクリメント処理(ステップS46)以降を繰り返すことになる。よって、全ての領域についての不具合の有無の確認処理(ステップS50)、及び、不具合が有ると判断される場合(ステップS52・Yes)の不具合に応じた処理(ステップS54)が、実施されることになる。 After step S54, the defect check process may directly end (step S60). Further, after step S54, as indicated by the dotted line and arrow in the flowchart of FIG. 4, the defect check process may return to immediately before the increment process of the area counter C (step S46). In this case, the defect check process repeats the increment process of the area counter C (step S46) and thereafter. Therefore, the process of confirming whether or not there is a defect in all areas (step S50), and when it is determined that there is a defect (step S52, Yes), the process corresponding to the defect (step S54) is performed. become.

領域カウンタCがNum(論理領域の数)を超えると(ステップS48・Yes)、不具合チェック処理は終了する(ステップS60)。 When the area counter C exceeds Num (the number of logical areas) (step S48, Yes), the defect check process ends (step S60).

[1.2.4.不正アクセス及び不具合のチェックの種類、及び、対応する処理について]
図3及び図4を用いて処理の流れを示した、不正アクセス及び不具合のチェックの具体的種類、及び、それらに対応する処理の具体的動作について、図5の一覧表を用いて説明する。なお、以下で説明する不正アクセス及び不具合のチェックの種類、及び、対応する処理の動作は例示であって、以下のものに限定されない。[1.2.4. Types of checks for unauthorized access and defects, and corresponding processing]
Specific types of checks for unauthorized access and defects, and specific operations of processes corresponding to them, of which the flow of processing is shown using FIGS. 3 and 4, will be described using the list of FIG. It should be noted that the types of checks for unauthorized access and defects described below and the operations of the corresponding processes are merely examples, and are not limited to the following.

[1.2.4.0.前提]
不正アクセス及び不具合のチェックの具体的種類、及び、それらに対応する処理の具体的動作を説明するに当たって、コントローラ6における、不揮発性メモリ12の領域毎のホストに関する情報を保持するテーブルの内容をまず示す。
コントローラ6は、不揮発性メモリ12の領域毎に:
(1)アクセス可能なホスト
(2)ホストがアクセス可能である場合に、使用可能なオペレーション(ライトオペレーション、リードオペレーション、コピーオペレーション、ムーブオペレーション、イレースオペレーション)
(3)領域外アクセスによってアクセスされた場合に、他の領域を書き込み可能領域として追加可能か否かを示す情報
(4)自身が自動運転に関連するデータを記録している(自動運転用領域)か否かを示す情報
(5)アクセス可能なアプリケーションの属性(アプリケーションID)を示す情報
を定義したテーブルを保持している。[1.2.4.0. premise]
Before describing the specific types of checks for unauthorized access and defects, and the specific operations of processing corresponding to them, first, the contents of a table that holds information about the host for each area of the nonvolatile memory 12 in the controller 6 will be described. show.
The controller 6, for each area of the nonvolatile memory 12:
(1) Accessible host (2) Usable operations (write operation, read operation, copy operation, move operation, erase operation) when the host is accessible
(3) Information indicating whether or not another area can be added as a writable area when accessed by access outside the area (5) a table defining information indicating attributes (application IDs) of accessible applications.

[1.2.4.1.アクセス領域違反]
第1の不正アクセスの種類として、「アクセス領域違反」が挙げられる。「アクセス領域違反」は、アクセスが許可されていない領域への、ホストからのアクセス、と定義される。その内容の一例は、ホストからのオペレーションにおける領域ID、又は、開始アドレスが正しくない、というものである。コントローラ6はオペレーションが対象とする領域ID、又は、開始アドレスによって表現される不揮発性メモリ12の領域と、コマンド発行元のホストとを比較することで、アクセス領域違反の有無を検知する。
アクセス領域違反が生じた場合、ストレージ装置4のコントローラ6は、許可されている領域も含めて、該当するホストからのアクセスを全て禁止する、という対処を行う。なお、対処については上述した内容に限られない。例えばストレージ装置4のコントローラ6は、当該アクセス領域違反を行ったホストからのライトオペレーションによるアクセスのみを禁止するようにしてもよい。
アクセス領域違反が生じた場合、ストレージ装置4のコントローラ6は、オペレーションエラーという形式で、ホストに通知する。[1.2.4.1. Access area violation]
A first type of unauthorized access is "access area violation". An "access area violation" is defined as an access from a host to an area for which access is not permitted. An example of its content is that the region ID or start address in the operation from the host is incorrect. The controller 6 detects whether or not there is an access area violation by comparing the area of the non-volatile memory 12 represented by the area ID of the operation target or the start address with the host that issued the command.
When an access area violation occurs, the controller 6 of the storage device 4 prohibits all access from the corresponding host, including the permitted area. Note that the countermeasures are not limited to those described above. For example, the controller 6 of the storage device 4 may prohibit only access by write operations from the host that has violated the access area.
When an access area violation occurs, the controller 6 of the storage device 4 notifies the host in the form of an operation error.

[1.2.4.2.アクセスモード違反]
第2の不正アクセスの種類として、「アクセスモード違反」が挙げられる。「アクセスモード違反」は、実行可能なオペレーションが限定されている領域への、実行可能なオペレーション以外の命令を含むアクセスと定義される。その内容の一例は、ホストからのコマンドであるオペレーション、領域ID、又は、開始アドレスが正しくない、というものである。
アクセスモード違反が生じた場合、ストレージ装置4のコントローラ6は、当該オペレーションを禁止する、という対処を行う。更に同様のアクセスが連続する場合には、ストレージ装置4のコントローラ6は、一時的に当該領域をアクセス不可とし、加えて、ホストに対してアクセスモード違反の内容を伝えることで、ホスト側での対応を要請する、という対処を行う。対応を要請されたホストは、アクセスモード違反の内容に基づき、当該アクセスを行っているアプリケーションを特定し、当該アプリケーションの動作を制限する等の処理を行う。
ストレージ装置4のコントローラ6は、オペレーションエラーという形式で、ホストに通知する。[1.2.4.2. Access mode violation]
A second type of unauthorized access is "access mode violation." An "access mode violation" is defined as an access that includes an instruction other than an executable operation to a region where executable operations are restricted. An example of the content is that the operation, region ID, or start address, which is a command from the host, is incorrect.
If an access mode violation occurs, the controller 6 of the storage device 4 prohibits the operation. Furthermore, if similar accesses continue, the controller 6 of the storage device 4 temporarily disables access to the area and notifies the host of the content of the access mode violation. Take action by requesting a response. The host requested to take action identifies the application that is making the access based on the contents of the access mode violation, and performs processing such as restricting the operation of the application.
The controller 6 of the storage device 4 notifies the host in the form of an operation error.

[1.2.4.3.不正データ改竄]
第3の不正アクセスの種類として、「不正データ改竄」が挙げられる。「不正データ改竄」は、特定の領域に対して不正なデータ改竄が行われた場合、と定義される。ここで、データチェックの方法が、ストレージ装置4のコントローラ6に予め記憶されている。「不正データ改竄」の内容は、予め記憶されたデータチェックの方法により改竄と判断される、というものである。
ストレージ装置4のコントローラ6は、現状の不揮発性メモリ12上のデータを保護し、当該アクセスのあったことをホストに通知し、ホストにデータの再チェックを要請する、という対処を行う。
ストレージ装置4のコントローラ6は、コマンドエラーという形式で、若しくは、割り込みという形式で、ホストに通知する。[1.2.4.3. Illegal data tampering]
A third type of unauthorized access is "unauthorized data falsification." “Illegal data tampering” is defined as a case where a specific area is illegally tampered with. Here, the data check method is stored in advance in the controller 6 of the storage device 4 . The contents of "unauthorized data falsification" are determined as falsification by a pre-stored data check method.
The controller 6 of the storage device 4 protects the current data on the nonvolatile memory 12, notifies the host of the access, and requests the host to recheck the data.
The controller 6 of the storage device 4 notifies the host in the form of a command error or in the form of an interrupt.

[1.2.4.4.不正書き込み]
第4の不正アクセスの種類として、「不正書き込み」が挙げられる。「不正書き込み」は、特定の領域に対して不正な書き込みが発生した場合、と定義される。ここで、あるべき書き込みデータの属性及び内容(アドレス、データタイプ等)が、不揮発性メモリ12の領域毎に、ストレージ装置4のコントローラ6に予め記憶されている。「不正書き込み」の内容は、書き込みデータの属性及び内容が、予め記憶された、あるべきものでは無い、というものである。
不正書き込みが生じた場合、ストレージ装置4のコントローラ6は、対処の一例として、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、という対処を行う。書き込まれたデータに符号を付すのは、例えば、事後にホストが当該データを見つけ易いようにするためである。
ストレージ装置4のコントローラ6は、オペレーションに対するレスポンスという形式で、若しくは、割り込みという形式で、オペレーションエラーをホストに通知する。[1.2.4.4. Illegal writing]
A fourth type of unauthorized access is "unauthorized writing". "Illegal writing" is defined as when an illegal writing occurs to a specific area. Here, attributes and contents (address, data type, etc.) of write data to be written are stored in advance in the controller 6 of the storage device 4 for each area of the nonvolatile memory 12 . The content of "illegal write" is that the attribute and content of the write data are not what should have been stored in advance.
When illegal writing occurs, the controller 6 of the storage device 4, as an example of countermeasures, affixes a sign to the written data, sets the area in which the data is written as a read-only area, and later releases it from the host. The countermeasure is to keep the area read-only until an instruction comes. The reason why the code is attached to the written data is, for example, so that the host can easily find the data after the fact.
The controller 6 of the storage device 4 notifies the host of the operation error in the form of a response to the operation or in the form of an interrupt.

[1.2.4.5.領域外書き込みアクセス]
第5の不正アクセスの種類として、「領域外書き込みアクセス」が挙げられる。「領域外書き込みアクセス」は、指定された領域IDに対して設定されている領域外へのアクセス、と定義される。その内容の一例としては、例えば領域ID1のアドレスが0番地から2000番地であると定義されているにも関わらず、領域ID1へのライトオペレーションが2001番地から開始する場合などが挙げられる。
領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が「追加可能」である場合、ストレージ装置4のコントローラ6は、不揮発性メモリ内で自動的に新たな領域を確保し、連続領域として追加する、という対処を行う。
ストレージ装置4のコントローラ6は、領域を拡張したことを、ホストに通知する。[1.2.4.5. Out-of-area write access]
As a fifth type of unauthorized access, there is an “outside write access”. "Outside area write access" is defined as access outside the area set for the specified area ID. As an example of the content, for example, although the addresses of area ID1 are defined as addresses 0 to 2000, a write operation to area ID1 starts from address 2001.
If an out-of-area write access occurs, and if the information indicating whether or not it is possible to add another area as a writable area when accessed by an out-of-area write access, the storage The controller 6 of the device 4 automatically secures a new area within the nonvolatile memory and adds it as a continuous area.
The controller 6 of the storage device 4 notifies the host that the area has been expanded.

[1.2.4.6.連続アクセスモード違反]
第6の不正アクセスの種類として、「連続アクセスモード違反」が挙げられる。「連続アクセスモード違反」は、アクセスモード違反のアクセスを所定回数以上行った場合、と定義される。連続アクセスモード違反の一例としては、予め読み込み専用として指定した所定のアドレスに所定のデータを書き込む処理を、所定回数連続したことを検出した場合が挙げられる。
連続アクセスモード違反が生じると、ストレージ装置4のコントローラ6は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻す、という対処を行う。言い換えれば、コントローラ6は、アクセスモード違反を利用したアクセスモードの切り替えを行う。このような対処が可能であるか否かは領域毎に定められていても良いし、全領域に対してこのような対処を可能としても良い。
ストレージ装置4のコントローラ6は、対処が成功したか失敗したかをコマンドレスポンスで、ホストに通知する。[1.2.4.6. continuous access mode violation]
A sixth type of unauthorized access is "consecutive access mode violation". "Consecutive access mode violation" is defined as the case where accesses with access mode violation are performed more than a predetermined number of times. An example of a continuous access mode violation is a case in which it is detected that the process of writing predetermined data to a predetermined read-only address has been performed a predetermined number of times in succession.
When a continuous access mode violation occurs, the controller 6 of the storage device 4 temporarily cancels the read-only mode, enables writing until predetermined data is written to a predetermined address, and reads when predetermined data is written to a predetermined address. Take action to return it to private use. In other words, the controller 6 performs access mode switching using an access mode violation. Whether or not such measures are possible may be determined for each region, or such measures may be possible for all regions.
The controller 6 of the storage device 4 notifies the host whether the countermeasure was successful or unsuccessful by a command response.

[1.2.4.7.自動運転用領域への不正アクセス]
第7の不正アクセスの種類として、「自動運転用領域への不正アクセス」が挙げられる。「自動運転用領域への不正アクセス」は、自動運転用領域に不正アクセスがあったことを検出した場合、と定義される。その内容の一例は、ライトオペレーションが、自動運転用領域に対するものであって、かつ、アクセスが許可されたアプリケーション(例:自動運転プログラム更新アプリケーション)以外のアプリケーションから行われたというものである。
自動運転用領域への不正アクセスが生じた場合、ストレージ装置4のコントローラ6は、該当する自動運転用領域の一部若しくは全部を無効とし、又は、自動運転の機能を中止若しくは一部制限する処理を行う。さらにストレージ装置4のコントローラ6は、自動運転を中止すること、または一部の機能を制限することをホストに通告する、という対処を行う。これを受けて、車載ECU20は、自動運転を中止、または一部の機能を制限する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。[1.2.4.7. Unauthorized access to areas for automated driving]
A seventh type of unauthorized access is "unauthorized access to the area for automatic driving". “Unauthorized access to the autonomous driving area” is defined as the detection of unauthorized access to the autonomous driving area. An example of the content is that the write operation is for the area for automatic driving and is performed from an application other than an application (for example, an automatic driving program update application) for which access is permitted.
If unauthorized access to the area for automatic operation occurs, the controller 6 of the storage device 4 invalidates part or all of the relevant area for automatic operation, or suspends or partially limits the function of automatic operation. I do. Further, the controller 6 of the storage device 4 takes measures such as notifying the host of stopping the automatic operation or restricting some functions. In response to this, the in-vehicle ECU 20 suspends automatic driving or restricts some functions.
The controller 6 of the storage device 4 notifies the host in the form of an interrupt.

[1.2.4.8.致命的な障害の検出]
ステップS52で検出される、第1の不具合(異常)の種類として、「致命的な障害の検出」が挙げられる。「致命的な障害の検出」は、各領域において致命的なエラーが起こり、ストレージ内での自動リカバリができないと判断された障害の検出、つまり、車載セキュアストレージシステム内での自動リカバリが不可能であると判断された障害の検出、と定義される。その内容の一例としては、不具合チェック(図4参照)のステップS54おいて、リカバリを試みたにも関わらず、リカバリが不可能であった、というものである。
致命的な障害の検出が生じると、ストレージ装置4のコントローラ6は、不揮発性メモリ12へのホストからのアクセスを全部または一部断絶すると共に、致命的な障害が発生したことをホストに通知する。これを受けて、ホストである車載ECU20は、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知する。
ストレージ装置4のコントローラ6は、レスポンスという形式で、若しくは、割り込みという形式で、オペレーションエラーをホストに通知する。[1.2.4.8. fatal failure detection]
A first type of failure (abnormality) detected in step S52 includes "detection of fatal failure". "Fatal failure detection" is the detection of failures in which a fatal error occurs in each area and it is determined that automatic recovery within the storage is not possible.In other words, automatic recovery within the in-vehicle secure storage system is impossible. is defined as the detection of a fault determined to be An example of the content is that recovery was not possible in spite of the fact that recovery was attempted in step S54 of the defect check (see FIG. 4).
When a fatal failure is detected, the controller 6 of the storage device 4 cuts all or part of access from the host to the nonvolatile memory 12 and notifies the host of the occurrence of the fatal failure. . In response to this, the in-vehicle ECU 20 serving as a host uses the external communication function of the external communication module 18 to notify the external service center.
The controller 6 of the storage device 4 notifies the host of the operation error in the form of a response or in the form of an interrupt.

[1.2.4.9.領域異常の検出]
ステップS52で検出される、第2の不具合(異常)として、「領域異常の検出」が挙げられる。「領域異常の検出」は、データ破壊やハードウエアエラー等の検出により、領域異常が発生したとコントローラ6が判断した場合、と定義される。その内容は、不具合チェック(図4参照)による不具合検出、というものである。
領域異常の検出が生じた場合コントローラ6は、ステップS54の処理として下記の処理のいずれかまたはすべてを実施する。
[1]ストレージ装置4のコントローラ6は、指示を出して、該当する領域のバックアップ領域に切り替える。このバックアップ領域は予め用意されているものである。ストレージ装置4のコントローラ6は、切り替えたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、領域の切り替えという対処を行ったことを、割り込み等の形式でホストに通知する。
[2]また、ストレージ装置4のコントローラ6は、壊れたボリュームのリカバリを行うこともある。このリカバリは、予め構成しておいたRAIDを用いて行われる。ストレージ装置4のコントローラ6は、リカバリしたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、リカバリという対処を行ったことを、割り込み等の形式でホストに通知する。
[3]また、ストレージ装置4のコントローラ6は、不揮発性メモリ12内部で自動的にデータを分散して記録し、その上で、障害が生じた領域を他の領域部分から自動的にリカバリすることもある。ストレージ装置4のコントローラ6は、自動的にデータを分散して記録したこと、及び、障害が生じた領域を他の領域部分から自動的にリカバリしたことを、ホストである車載ECU20に通知する。なお、不揮発性メモリ12内部で自動的にデータを分散して記録する際には秘密分散技術を用いても良い。
ストレージ装置4のコントローラ6は、データの分散記録及びリカバリという対処を行ったことを、割り込み等の形式でホストに通知する。
[4]更に、ストレージ装置4のコントローラ6は、障害が生じた領域のデータを、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタのサーバからダウンロードすることで、リカバリを行うこともある。ストレージ装置4のコントローラ6は、リカバリしたことをホストである車載ECU20に通知する。
ストレージ装置4のコントローラ6は、リカバリという対処を行ったことを、割り込み等の形式でホストに通知する。[1.2.4.9. Area abnormality detection]
As the second failure (abnormality) detected in step S52, there is "detection of area abnormality". "Detection of area abnormality" is defined as a case where the controller 6 determines that an area abnormality has occurred due to detection of data destruction, hardware error, or the like. The content of the inspection is defect detection by defect check (see FIG. 4).
When an area abnormality is detected, the controller 6 performs any or all of the following processes as the process of step S54.
[1] The controller 6 of the storage device 4 issues an instruction to switch to the backup area of the corresponding area. This backup area is prepared in advance. The controller 6 of the storage device 4 notifies the in-vehicle ECU 20, which is the host, of the switching.
The controller 6 of the storage device 4 notifies the host in the form of an interrupt or the like that the area switching has been performed.
[2] Also, the controller 6 of the storage device 4 may recover the broken volume. This recovery is performed using a preconfigured RAID. The controller 6 of the storage device 4 notifies the in-vehicle ECU 20, which is the host, of the recovery.
The controller 6 of the storage device 4 notifies the host in the form of an interrupt or the like that recovery has been performed.
[3] In addition, the controller 6 of the storage device 4 automatically distributes and records the data inside the non-volatile memory 12, and then automatically recovers the failed area from other areas. Sometimes. The controller 6 of the storage device 4 notifies the in-vehicle ECU 20, which is the host, that the data has been automatically distributed and recorded, and that the failed area has been automatically recovered from other areas. When data is automatically distributed and recorded inside the nonvolatile memory 12, a secret sharing technique may be used.
The controller 6 of the storage device 4 notifies the host in the form of an interrupt or the like that the distributed recording and recovery of the data have been dealt with.
[4] Furthermore, the controller 6 of the storage device 4 performs recovery by downloading the data in the failed area from the server of the external service center using the external communication function of the external communication module 18. Sometimes. The controller 6 of the storage device 4 notifies the in-vehicle ECU 20, which is the host, of the recovery.
The controller 6 of the storage device 4 notifies the host in the form of an interrupt or the like that recovery has been performed.

[1.2.4.10.部分的な致命的障害の検出]
ステップS52で検出される、第3の不具合(異常)として、「部分的な致命的障害の検出」が挙げられる。「部分的な致命的障害の検出」は、「致命的な障害の検出」の内でも、特定の領域において、致命的なエラーが起こり、ストレージ内での自動リカバリができない場合、と定義される。つまり、第3の不具合(異常)である「部分的な致命的障害の検出」とは、第1の不具合(異常)の対象である致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出、である。
部分的な致命的障害の検出の内容と、部分的な致命的障害の検出が生じた場合コントローラ6が行う、ステップS54の処理は、下記のうちの一つまたは全部である。
[1]ストレージ装置4における、車載ナビゲーションシステムが使用する領域以外にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、使用可能な機能がナビゲーションに関する機能であることを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、モニタ28に最寄りの修理工場への案内を表示し車両1を修理工場へ誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[2]ストレージ装置4における、車載ナビゲーションシステムが使用する領域にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、車載ナビゲーションシステムが使用する領域で致命的障害が起こったことを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、不揮発性メモリ12におけるバックアップ領域より、最寄りの修理工場へのナビゲーション情報を読み出し、モニタ28に表示し、車両1を修理工場へ自動運転にて誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。
[3]ストレージ装置4における、ADAS(Advanced driver-assistance systems:先進運転支援システム)が使用する領域にて、致命的障害が起こった場合、ストレージ装置4のコントローラ6は、ADASを使用できないことを、ホストである車載ECU20に通知する。これを受けて、ホストである車載ECU20は、モニタ28に映す画像、スピーカ32より出力する音声、又は、ルームランプ26での点滅、色変更若しくは明るさ変更を用いて、ADASを使用できない旨を、運転者に通知する。更に、ホストである車載ECU20は、自動運転にて車両1を最寄りの修理工場に誘導する。又は、ホストである車載ECU20は、モニタ28に最寄りの修理工場への案内を表示し、手動運転にて車両1を最寄りの修理工場に誘導する。更に、ストレージ装置4のコントローラ6は、車載ECU20に対して、外部通信モジュール18が備える外部通信機能を用いて、外部のサービスセンタに通知することを要請する。
ストレージ装置4のコントローラ6は、割り込みという形式で、ホストに通知する。[1.2.4.10. Detection of partial catastrophic failure]
A third failure (abnormality) detected in step S52 is "detection of partial fatal failure". "Partial fatal failure detection" is defined as the case where a fatal error occurs in a specific area within "fatal failure detection" and automatic recovery within the storage is not possible. . In other words, the third failure (abnormality), ``detection of a partial fatal failure,'' means that, of the fatal failures, which are the targets of the first failure (abnormality), Detecting faults in specific areas.
The details of detection of a partial fatal failure and the processing of step S54 performed by the controller 6 when a partial fatal failure is detected are one or all of the following.
[1] If a fatal failure occurs in the storage device 4 in an area other than the area used by the in-vehicle navigation system, the controller 6 of the storage device 4 notifies the host that the available functions are functions related to navigation. A certain in-vehicle ECU 20 is notified. In response to this, the in-vehicle ECU 20 serving as a host displays a guide to the nearest repair shop on the monitor 28 to guide the vehicle 1 to the repair shop. Further, the controller 6 of the storage device 4 requests the in-vehicle ECU 20 to notify the external service center using the external communication function of the external communication module 18 .
The controller 6 of the storage device 4 notifies the host in the form of an interrupt.
[2] If a fatal failure occurs in the area used by the in-vehicle navigation system in the storage device 4, the controller 6 of the storage device 4 notifies that the fatal failure has occurred in the area used by the in-vehicle navigation system. , to the in-vehicle ECU 20 serving as a host. In response to this, the in-vehicle ECU 20 serving as a host reads the navigation information to the nearest repair shop from the backup area in the nonvolatile memory 12, displays it on the monitor 28, and automatically guides the vehicle 1 to the repair shop. . Further, the controller 6 of the storage device 4 requests the in-vehicle ECU 20 to notify the external service center using the external communication function of the external communication module 18 .
The controller 6 of the storage device 4 notifies the host in the form of an interrupt.
[3] In the area used by ADAS (Advanced driver-assistance systems) in the storage device 4, if a fatal failure occurs, the controller 6 of the storage device 4 indicates that the ADAS cannot be used. , to the in-vehicle ECU 20 serving as a host. In response to this, the in-vehicle ECU 20, which is the host, uses the image displayed on the monitor 28, the sound output from the speaker 32, or the blinking, color change, or brightness change of the room lamp 26 to indicate that the ADAS cannot be used. , notify the driver. Furthermore, the in-vehicle ECU 20 serving as a host guides the vehicle 1 to the nearest repair shop by automatic operation. Alternatively, the in-vehicle ECU 20 serving as a host displays a guide to the nearest repair shop on the monitor 28 and guides the vehicle 1 to the nearest repair shop by manual operation. Further, the controller 6 of the storage device 4 requests the in-vehicle ECU 20 to notify the external service center using the external communication function of the external communication module 18 .
The controller 6 of the storage device 4 notifies the host in the form of an interrupt.

[1.2.5.車載ECUがストレージ装置から不正アクセスや不具合に関する通知を受けた場合の、車載ECU、及び、周辺機器の動作]
車載ECU20がストレージ装置4から不正アクセスや不具合に関する通知を受けた場合の、車載ECU20、及び、周辺機器の動作を説明する。[1.2.5. Operation of in-vehicle ECU and peripheral devices when in-vehicle ECU receives notification of unauthorized access or malfunction from storage device]
The operations of the in-vehicle ECU 20 and peripheral devices when the in-vehicle ECU 20 receives a notification of unauthorized access or malfunction from the storage device 4 will be described.

[1.2.5.1.モニタの動作]
モニタ28の動作を説明する。モニタ28は、車載ECU20からの指示により文字情報/アイコン等を用いて、運転者に対する注意若しくは警告を表示する。また、モニタ28は、運転者による緊急の対応を要するか否かについて、及び、運転者の操作や行動に関する助言について、表示する。[1.2.5.1. Monitor operation]
The operation of monitor 28 will be described. The monitor 28 uses character information/icons or the like according to instructions from the in-vehicle ECU 20 to display cautions or warnings to the driver. The monitor 28 also displays whether or not the driver needs to take urgent action, and advice regarding the driver's operations and actions.

モニタ28は、表示する情報の内容に応じて、画面の色や明るさを切り替えるようにしてもよい。 The monitor 28 may switch the color and brightness of the screen according to the content of information to be displayed.

モニタ28は、ストレージ装置4を含む車載システムに修理を要する場合には、車載ナビゲーションシステムに従って、修理工場等の最寄りの修理作業実施施設へ誘導する画面を表示するようにしてもよい。また、モニタ28は、車載ナビゲーションシステムによる画面に、ロードサービス提供者、自動車ディーラ、若しくは、サービスセンタなどへの架電を指示する旨を表示してもよい。 When the in-vehicle system including the storage device 4 requires repair, the monitor 28 may display a screen guiding the user to the nearest repair facility such as a repair shop according to the in-vehicle navigation system. Further, the monitor 28 may display an instruction to call a road service provider, an automobile dealer, or a service center on the screen of the in-vehicle navigation system.

モニタ28は、画面操作を介して運転者による入力を受け付けるようにしてもよい。運転者による入力は、例えば、画面表示される警告や注意に関する運転者の指示である。例えば、故障発生の警告画面に対して、運転者はモニタ28の画面を経由して、「直ぐに修理工場へ行く」ことを入力する。また、例えば、故障発生の注意画面に対して、運転者はモニタ28の画面を経由して、「後日、修理工場へ行く」ことを入力する。 The monitor 28 may receive input from the driver through screen operations. The input by the driver is, for example, the driver's instructions regarding warnings and cautions displayed on the screen. For example, the driver inputs "Immediately go to the repair shop" via the screen of the monitor 28 in response to the warning screen of the occurrence of a failure. Further, for example, the driver inputs "I will go to the repair shop at a later date" via the screen of the monitor 28 in response to the warning screen for failure occurrence.

[1.2.5.2.スピーカ及びマイクの動作]
スピーカ32及びマイク30の動作を説明する。スピーカ32は、モニタ28に表示する情報を、発声により運転者に通知する。スピーカ32は、指定される言語により、情報を運転者に通知するのが好ましい。更に、スピーカ32は、指定される言語が複数の言語から選択されるように構成されているのが好ましい。[1.2.5.2. Operation of speaker and microphone]
Operations of the speaker 32 and the microphone 30 will be described. The speaker 32 notifies the driver of the information displayed on the monitor 28 by speaking. The speaker 32 preferably notifies the driver of the information in a specified language. Further, speaker 32 is preferably configured such that the designated language can be selected from a plurality of languages.

マイク30は、運転者の音声による入力を受け付けるようにしてもよい。ここでの運転者の音声による入力は、例えば、スピーカ32により運転者に通知される情報に関する運転者の指示である。例えば、故障発生の警告の音声情報に対して、運転者はマイク30を経由して、「直ぐに修理工場へ行く」ことを音声で入力する。また、例えば、故障発生の注意の音声情報に対して、運転者はマイク30を経由して、「後日、修理工場へ行く」ことを音声で入力する。 The microphone 30 may be configured to receive input by the driver's voice. The input by the driver's voice here is, for example, the driver's instruction regarding the information notified to the driver by the speaker 32 . For example, in response to the voice information warning of the occurrence of a failure, the driver inputs "immediately go to the repair shop" via the microphone 30 by voice. Further, for example, in response to the voice information warning about the occurrence of a failure, the driver inputs, via the microphone 30, "I will go to the repair shop at a later date" by voice.

[1.2.5.3.ルームランプの動作]
ルームランプ26の動作を説明する。聴覚による聴き取りが苦手である運転者のために、ルームランプ26は、照明の点滅、色変更若しくは明るさ変更により、注意若しくは警告を通知する。障害の箇所や内容によって、ルームランプ26は、色を変えたり、点滅の間隔を変えたり、又は、明るさを変えたりするように構成されてもよい。このことにより、運転者は、不正アクセスや不具合の内容を認識して、その後の具体的な運転操作や行動の選択の指針とすることができる。[1.2.5.3. Room lamp operation]
The operation of the room lamp 26 will be explained. For the driver who is not good at hearing by hearing, the room lamp 26 notifies caution or warning by blinking, changing color or changing brightness. The room lamp 26 may be configured to change color, blink interval, or brightness depending on the location and content of the obstacle. As a result, the driver can recognize the contents of the unauthorized access and trouble, and use it as a guideline for selecting specific driving operations and actions thereafter.

[1.3.まとめ]
本実施の形態に係る車載セキュアストレージシステム2は、コントローラ6、不揮発性メモリ12、及びインタフェース(8、10)を有するストレージ装置4と、並びに、車両1の制御を電子的に行う電子制御ユニット20とを有する車載セキュアストレージシステム2である。コントローラ6は、不揮発性メモリ12に対して不正アクセスまたは不具合が生じていると判断した後に、不正アクセスまたは不具合の種類に応じて、所定の処理を行う。[1.3. summary]
The in-vehicle secure storage system 2 according to the present embodiment includes a controller 6, a nonvolatile memory 12, a storage device 4 having interfaces (8, 10), and an electronic control unit 20 for electronically controlling the vehicle 1. and an in-vehicle secure storage system 2. After judging that the nonvolatile memory 12 has been illegally accessed or malfunctioned, the controller 6 performs a predetermined process according to the type of the illegal access or malfunction.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。 With this configuration, the in-vehicle secure storage system 2 can easily and quickly detect unauthorized access to the storage device 4 or malfunction of the storage device 4, and appropriately utilize the detection results.

更に、本実施の形態に係る車載セキュアストレージシステム2では、コントローラ6は、電子制御ユニット20から受信した命令を解析し、解析の結果、不揮発性メモリ12に対する命令が不正アクセスであると判断した場合は不正アクセスに対応する所定の処理を行う。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, when the controller 6 analyzes the instruction received from the electronic control unit 20 and determines that the instruction to the nonvolatile memory 12 is unauthorized access as a result of the analysis, performs predetermined processing to deal with unauthorized access.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスを簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can easily and quickly detect unauthorized access to the storage device 4 and appropriately utilize the detection result.

更に、本実施の形態に係る車載セキュアストレージシステム2では、不揮発性メモリ12は、複数の論理領域に分割されている。コントローラ6は、タイマによる割り込み、若しくは電子制御ユニット20からの通信をトリガにして、複数の論理領域毎に不具合の有無を確認し、確認の結果、不具合があると判断した場合、不具合に対応する所定の処理を行う。 Furthermore, in the in-vehicle secure storage system 2 according to this embodiment, the nonvolatile memory 12 is divided into a plurality of logical areas. The controller 6 confirms whether or not there is a problem in each of the plurality of logical areas by using an interrupt by a timer or communication from the electronic control unit 20 as a trigger, and if it is determined that there is a problem as a result of the confirmation, it responds to the problem. Predetermined processing is performed.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合を簡易に且つ迅速に検出でき、その検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can easily and quickly detect a failure of the storage device 4 and appropriately utilize the detection result.

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスに対応する所定の処理、及び、不具合に対応する所定の処理は、電子制御ユニットへの通知である。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, the prescribed processing for dealing with unauthorized access and the prescribed processing for dealing with malfunctions are notifications to the electronic control unit.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合の、検出結果を、適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately utilize detection results of unauthorized access to the storage device 4 or failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスの種類は、アクセス領域違反、アクセスモード違反、不正データ改竄、不正書き込み、領域外書き込みアクセス、連続アクセスモード違反、及び、自動運転用領域への不正アクセスのうちの、いずれかである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, the types of unauthorized access include access area violation, access mode violation, unauthorized data falsification, unauthorized writing, out-of-area write access, continuous access mode violation, and automatic driving. unauthorized access to the user area.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスを簡易に且つ迅速に検出できる。 By configuring in this way, the in-vehicle secure storage system 2 can easily and quickly detect unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、アクセス領域違反であり、不正アクセスに対応する所定の処理は、電子制御ユニットからのアクセスを全て禁止することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is an access area violation, and the prescribed processing for dealing with unauthorized access is to prohibit all accesses from the electronic control unit.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、アクセスモード違反であり、不正アクセスに対応する所定の処理は、アクセスモードに対応するオペレーションを禁止することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is an access mode violation, and the prescribed processing for dealing with unauthorized access is to prohibit operations corresponding to the access mode.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、不正データ改竄であり、不正アクセスに対応する所定の処理は、不揮発性メモリ12上の現状のデータを保護し、当該不正アクセスのあったことを電子制御ユニット20に通知し、電子制御ユニット20にデータの再チェックを要請することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is unauthorized data falsification, and the predetermined processing corresponding to unauthorized access protects the current data on the nonvolatile memory 12, It is to notify the electronic control unit 20 of the access and request the electronic control unit 20 to recheck the data.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、不正書き込みであり、不正アクセスに対応する所定の処理は、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、ということである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is unauthorized writing, and predetermined processing corresponding to unauthorized access is to add a code to the written data and This means that the area is set as a read-only area, and furthermore, the area is set as read-only until a release command is received from the host later.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が追加可能である場合には、不正アクセスは、領域外書き込みアクセスであり、不正アクセスに対応する所定の処理は、不揮発性メモリ12内で自動的に新たな領域を確保し連続領域として追加することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, is it possible to add another area as a writable area when an out-of-area write access occurs and is accessed by an out-of-area write access? If information indicating whether or not can be added, the unauthorized access is an outside-area write access, and a predetermined process corresponding to the unauthorized access automatically secures a new area within the nonvolatile memory 12. Adding as a contiguous region.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、連続アクセスモード違反であり、不正アクセスに対応する所定の処理は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻すことである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is a continuous access mode violation, and the predetermined processing corresponding to the unauthorized access is to cancel the read-only mode once and store a predetermined address at a predetermined address. To enable writing until data is written, and to return to read-only when predetermined data is written to a predetermined address.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不正アクセスは、自動運転用領域への不正アクセスであり、不正アクセスに対応する所定の処理は、該当する自動運転用領域の一部若しくは全部を無効とし、又は、自動運転の機能を中止若しくは一部制限する処理を行い、更に、自動運転を中止すること、または一部の機能を制限することをホストに通告することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, unauthorized access is unauthorized access to the automatic driving area, and the predetermined processing corresponding to the unauthorized access is a part of the relevant automatic driving area or It is to invalidate all, to perform processing to stop or partially limit the function of automatic operation, and to notify the host that automatic operation will be stopped or that some functions will be limited.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセスの検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of unauthorized access to the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合の種類は、車載セキュアストレージシステム内での自動リカバリが不可能な障害であると判断された障害である致命的な障害の検出、領域異常の検出、及び、致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出のうちの、いずれかである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, the type of failure is the detection of a fatal failure that is determined to be a failure that cannot be automatically recovered within the in-vehicle secure storage system, It is either detection of an area abnormality or detection of a failure relating to a specific area relating to a specific function of the non-volatile memory among fatal failures.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合を簡易に且つ迅速に検出できる。 By configuring in this way, the in-vehicle secure storage system 2 can easily and quickly detect a failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、前述の致命的な障害の検出であり、不具合に対応する所定の処理は、不揮発性メモリ12へのホストからのアクセスを全部又は一部断絶することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, the failure is detection of the fatal failure described above, and the predetermined processing corresponding to the failure is to stop all accesses to the nonvolatile memory 12 from the host. Or to cut off part of it.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of the failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、領域異常の検出であり、不具合に対応する所定の処理は、該当する領域のバックアップ領域に切り替えることである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, a failure is detection of an area abnormality, and a predetermined process corresponding to the failure is switching to the backup area of the corresponding area.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of the failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、不具合は、前述の致命的な障害のうち、不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出であり、不具合に対応する所定の処理は、外部通信により外部のサービスセンタに通知することを電子制御ユニット20に要請することである。 Furthermore, in the in-vehicle secure storage system 2 according to the present embodiment, the failure is detection of a failure in a specific area related to a specific function of the nonvolatile memory among the fatal failures described above. is to request the electronic control unit 20 to notify the external service center by external communication.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4の不具合の検出結果を適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use the detection result of the failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、モニタ28と接続している。電子制御ユニット20は通知を受けると、モニタ28の画面に注意若しくは警告を表示する。 Furthermore, in the vehicle-mounted secure storage system 2 according to this embodiment, the electronic control unit 20 is connected to the monitor 28 . When the electronic control unit 20 receives the notification, it displays a caution or warning on the screen of the monitor 28 .

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use detection results regarding unauthorized access to the storage device 4 or failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、スピーカ32及びマイク30と接続している。電子制御ユニット20は通知を受けると、注意若しくは警告に関する情報をスピーカ32に発声させ、マイク30により音声による入力を受け付ける。 Furthermore, in the vehicle-mounted secure storage system 2 according to this embodiment, the electronic control unit 20 is connected to the speaker 32 and the microphone 30 . When receiving the notification, the electronic control unit 20 causes the speaker 32 to utter information regarding caution or warning, and the microphone 30 accepts voice input.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use detection results regarding unauthorized access to the storage device 4 or failure of the storage device 4 .

更に、本実施の形態に係る車載セキュアストレージシステム2では、電子制御ユニット20は、ルームランプ26と接続している。電子制御ユニット20は通知を受けると、ルームランプ26の点滅、色変更、若しくは明るさの変更を行う。 Furthermore, in the in-vehicle secure storage system 2 according to this embodiment, the electronic control unit 20 is connected to the room lamp 26 . Upon receiving the notification, the electronic control unit 20 blinks the room lamp 26, changes the color, or changes the brightness.

このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置4の不具合に関する検出結果を、適切に利用することができる。 By configuring in this way, the in-vehicle secure storage system 2 can appropriately use detection results regarding unauthorized access to the storage device 4 or failure of the storage device 4 .

(他の実施の形態)
以上のように、本出願において開示する技術の例示として、実施の形態1を説明した。しかしながら、本開示における技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。例えば、本実施の形態においては、不揮発性メモリ12は、複数の論理領域に分割されたが必ずしも、分割される必要はない。つまり、不揮発性メモリ12は、単数の論理領域のみを有するものとしても良い。また、メインバスインタフェース8、外部通信モジュール18、および/またはメインバスインタフェース22との間の接続はPCIe等を用いたバス接続ではなく、イーサネット(登録商標)等を用いたネットワーク接続としてもよい。また、本実施の形態においてはコントローラ6からホストへの通知は、オペレーションに対するレスポンスまたは割込みという形で行ったが、コントローラとホストの間の情報授受の方式はこれに限られない。つまり、コントローラ6がホストに通知する代わりに、当該通知すべき内容を、不揮発性メモリ12内の所定の領域にログとして記載しておき、ホストが自ら当該所定の領域を読み出すことで、ホストが不正アクセス、不正アクセスによって生じたデータ改竄、システムの不具合を検知できるように構成してもよい。このように構成することにより、車載セキュアストレージシステム2は、ストレージ装置4への不正アクセス又はストレージ装置の不具合に関する検出結果を、適切に利用することができる。(Other embodiments)
As described above, Embodiment 1 has been described as an example of the technology disclosed in the present application. However, the technology in the present disclosure is not limited to this, and can be applied to embodiments in which modifications, replacements, additions, omissions, etc. are made as appropriate. For example, although nonvolatile memory 12 is divided into a plurality of logical areas in this embodiment, it is not necessary to divide. That is, the nonvolatile memory 12 may have only a single logic area. The connection between the main bus interface 8, the external communication module 18, and/or the main bus interface 22 may be network connection using Ethernet (registered trademark) instead of bus connection using PCIe or the like. Also, in the present embodiment, the controller 6 notifies the host in the form of a response to an operation or an interrupt, but the method of exchanging information between the controller and the host is not limited to this. In other words, instead of the controller 6 notifying the host, the content to be notified is recorded as a log in a predetermined area in the nonvolatile memory 12, and the host reads the predetermined area by itself so that the host can It may be configured to detect unauthorized access, data falsification caused by unauthorized access, and system failure. By configuring in this way, the in-vehicle secure storage system 2 can appropriately utilize detection results regarding unauthorized access to the storage device 4 or failure of the storage device.

また、実施の形態を説明するために、添付図面および詳細な説明を提供した。したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。 Also, the accompanying drawings and detailed description have been provided to explain the embodiments. Therefore, among the components described in the attached drawings and detailed description, there are not only components essential for solving the problem, but also components not essential for solving the problem in order to illustrate the above technology. can also be included. Therefore, it should not be immediately recognized that those non-essential components are essential just because they are described in the attached drawings and detailed description.

また、上述の実施の形態は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。 In addition, the above-described embodiments are intended to illustrate the technology of the present disclosure, and various modifications, replacements, additions, omissions, etc. can be made within the scope of the claims or equivalents thereof.

本発明は、車載ストレージシステム、特に、自動運転システムを搭載する自動車における車載ストレージシステムにて利用することができる。 INDUSTRIAL APPLICABILITY The present invention can be used in an in-vehicle storage system, particularly an in-vehicle storage system in a vehicle equipped with an automatic driving system.

1・・・車両、2・・・車載セキュアストレージシステム、4・・・ストレージ装置、6・・・コントローラ、8・・・メインバスインタフェース、10・・・サイドバンドインタフェース、12・・・不揮発性メモリ、14・・・PCIeバス、16・・・サイドバンド用バス(SDバス)、18・・・外部通信モジュール、20・・・電子制御ユニット、22・・・メインバスインタフェース、24・・・サイドバンドインタフェース、26・・・ルームランプ、28・・・モニタ、30・・・マイク、32・・・スピーカ。 1... vehicle, 2... in-vehicle secure storage system, 4... storage device, 6... controller, 8... main bus interface, 10... side band interface, 12... non-volatile Memory 14 PCIe bus 16 Side band bus (SD bus) 18 External communication module 20 Electronic control unit 22 Main bus interface 24 Sideband interface 26 Room lamp 28 Monitor 30 Microphone 32 Speaker.

Claims (5)

コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットと
を有する車載セキュアストレージシステムであって、
前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行
前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、
前記不正アクセスは、不正データ改竄であり、
前記不正アクセスに対応する所定の処理は、前記不揮発性メモリ上の現状のデータを保護し、当該不正アクセスのあったことを前記電子制御ユニットに通知し、前記電子制御ユニットにデータの再チェックを要請することである、
車載セキュアストレージシステム。 An in-vehicle secure storage system comprising a storage device having a controller, a non-volatile memory, and an interface, and an electronic control unit for electronically controlling the vehicle,
After judging that the non-volatile memory has been illegally accessed or malfunctioned, the controller performs a predetermined process according to the type of the illegal access or malfunction,
analyzing the instruction received from the electronic control unit, and performing predetermined processing corresponding to the unauthorized access when it is determined that the instruction to the nonvolatile memory is unauthorized access as a result of the analysis;
the unauthorized access is unauthorized data falsification;
The predetermined processing corresponding to the unauthorized access protects the current data on the nonvolatile memory, notifies the electronic control unit of the unauthorized access, and requests the electronic control unit to recheck the data. is to request
In-vehicle secure storage system. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとA storage device having a controller, a non-volatile memory, and an interface, and an electronic control unit that electronically controls the vehicle
を有する車載セキュアストレージシステムであって、An in-vehicle secure storage system comprising
前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、After judging that the non-volatile memory has been illegally accessed or malfunctioned, the controller performs a predetermined process according to the type of the illegal access or malfunction,
前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、analyzing the instruction received from the electronic control unit, and performing predetermined processing corresponding to the unauthorized access when it is determined that the instruction to the nonvolatile memory is unauthorized access as a result of the analysis;
前記不正アクセスは、不正書き込みであり、the unauthorized access is unauthorized writing;
前記不正アクセスに対応する所定の処理は、書き込まれたデータに符号を付し、当該データが書き込まれた領域を読み込み専用領域としておき、更に、後にホストから解除命令が来るまでは当該領域を読み込み専用としておく、ということである、The predetermined processing for dealing with the unauthorized access is to add a sign to the written data, set the area in which the data is written as a read-only area, and read the area until a release command is received from the host later. It means to keep it for exclusive use,
車載セキュアストレージシステム。In-vehicle secure storage system. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとA storage device having a controller, a non-volatile memory, and an interface, and an electronic control unit that electronically controls the vehicle
を有する車載セキュアストレージシステムであって、An in-vehicle secure storage system comprising
前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、After judging that the non-volatile memory has been illegally accessed or malfunctioned, the controller performs a predetermined process according to the type of the illegal access or malfunction,
前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、analyzing the instruction received from the electronic control unit, and performing predetermined processing corresponding to the unauthorized access when it is determined that the instruction to the nonvolatile memory is unauthorized access as a result of the analysis;
領域外書き込みアクセスが生じた場合であって、かつ、領域外書き込みアクセスによってアクセスされた場合に他の領域を書き込み可能領域として追加可能か否かを示す情報が追加可能である場合には、If an out-of-area write access occurs, and if information indicating whether or not another area can be added as a writable area when accessed by an out-of-area write access is possible,
前記不正アクセスは、領域外書き込みアクセスであり、the unauthorized access is an out-of-area write access;
前記不正アクセスに対応する所定の処理は、前記不揮発性メモリ内で自動的に新たな領域を確保し、連続領域として追加することである、The predetermined processing corresponding to the unauthorized access is to automatically secure a new area in the nonvolatile memory and add it as a continuous area.
車載セキュアストレージシステム。In-vehicle secure storage system. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとA storage device having a controller, a non-volatile memory, and an interface, and an electronic control unit that electronically controls the vehicle
を有する車載セキュアストレージシステムであって、An in-vehicle secure storage system comprising
前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、After judging that the non-volatile memory has been illegally accessed or malfunctioned, the controller performs a predetermined process according to the type of the illegal access or malfunction,
前記電子制御ユニットから受信した命令を解析し、前記解析の結果、前記不揮発性メモリに対する命令が不正アクセスであると判断した場合は前記不正アクセスに対応する所定の処理を行い、analyzing the instruction received from the electronic control unit, and performing predetermined processing corresponding to the unauthorized access when it is determined that the instruction to the nonvolatile memory is unauthorized access as a result of the analysis;
前記不正アクセスは、連続アクセスモード違反であり、the unauthorized access is a continuous access mode violation;
前記不正アクセスに対応する所定の処理は、読み込み専用モードを一旦解除し、所定のアドレスに所定のデータを書き込むまで書き込み可能とし、所定のアドレスに所定のデータが書き込まれたら読み込み専用に戻すことである、The predetermined process for dealing with the unauthorized access is to temporarily cancel the read-only mode, enable writing until predetermined data is written to a predetermined address, and return to read-only mode when predetermined data is written to a predetermined address. be,
車載セキュアストレージシステム。In-vehicle secure storage system. コントローラ、不揮発性メモリ、及びインタフェースを有するストレージ装置と、並びに、車両の制御を電子的に行う電子制御ユニットとA storage device having a controller, a non-volatile memory, and an interface, and an electronic control unit that electronically controls the vehicle
を有する車載セキュアストレージシステムであって、An in-vehicle secure storage system comprising
前記コントローラは、前記不揮発性メモリに対して不正アクセスまたは不具合が生じていると判断した後に、前記不正アクセスまたは不具合の種類に応じて、所定の処理を行い、After judging that the non-volatile memory has been illegally accessed or malfunctioned, the controller performs a predetermined process according to the type of the illegal access or malfunction,
前記不揮発性メモリは、複数の論理領域に分割されており、The nonvolatile memory is divided into a plurality of logical areas,
前記コントローラは、タイマによる割り込み、若しくは前記電子制御ユニットからの通信をトリガにして、前記複数の論理領域毎に不具合の有無を確認し、前記確認の結果、不具合があると判断した場合、不具合に対応する所定の処理を行い、The controller is triggered by an interrupt by a timer or by communication from the electronic control unit to check whether or not there is a problem in each of the plurality of logic areas. perform the corresponding predetermined processing;
前記不具合は、前記車載セキュアストレージシステム内での自動リカバリが不可能な障害であると判断された障害である致命的な障害のうち、前記不揮発性メモリの特定の機能に関する特定の領域に関する障害の検出であり、The failure is a failure related to a specific area related to a specific function of the non-volatile memory, among fatal failures that are judged to be failures that cannot be automatically recovered within the in-vehicle secure storage system. is detection,
前記不具合に対応する所定の処理は、外部通信により外部のサービスセンタに通知することを前記電子制御ユニットに要請することである、The predetermined processing corresponding to the malfunction is to request the electronic control unit to notify an external service center through external communication.
車載セキュアストレージシステム。In-vehicle secure storage system.
JP2021532763A 2019-07-12 2020-06-26 In-vehicle secure storage system Active JP7246032B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019129761 2019-07-12
JP2019129761 2019-07-12
PCT/JP2020/025349 WO2021010143A1 (en) 2019-07-12 2020-06-26 In-vehicle secure storage system

Publications (3)

Publication Number Publication Date
JPWO2021010143A1 JPWO2021010143A1 (en) 2021-01-21
JPWO2021010143A5 JPWO2021010143A5 (en) 2022-06-20
JP7246032B2 true JP7246032B2 (en) 2023-03-27

Family

ID=74210643

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021532763A Active JP7246032B2 (en) 2019-07-12 2020-06-26 In-vehicle secure storage system

Country Status (5)

Country Link
US (1) US11983304B2 (en)
EP (1) EP3989075B1 (en)
JP (1) JP7246032B2 (en)
CN (1) CN114127726A (en)
WO (1) WO2021010143A1 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004218614A (en) 2003-01-17 2004-08-05 Mitsubishi Electric Corp Electronic control device mounted in vehicle
JP2007310916A (en) 2007-09-03 2007-11-29 Renesas Technology Corp Memory card
JP2009199515A (en) 2008-02-25 2009-09-03 Hitachi Ltd Vehicle control device
JP2014086089A (en) 2012-10-19 2014-05-12 Samsung Electronics Co Ltd Security management unit and host controller interface including the same, and operation method thereof, and computer system including host controller interface
JP2015079402A (en) 2013-10-18 2015-04-23 ソニー株式会社 Memory control unit, memory device, information processing system and memory control method thereof
JP2018116510A (en) 2017-01-18 2018-07-26 トヨタ自動車株式会社 Unauthorized access determination system and unauthorized access determination method
JP2018194909A (en) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 Information processing device and abnormality coping method
US20180357184A1 (en) 2017-06-09 2018-12-13 Intel Corporation Fine-grained access host controller for managed flash memory
WO2018230280A1 (en) 2017-06-14 2018-12-20 住友電気工業株式会社 External communication system for vehicle, communication control method, and communication control program
US20190102114A1 (en) 2017-10-02 2019-04-04 Western Digital Technologies, Inc. Storage protection unit

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4345119B2 (en) * 1998-12-24 2009-10-14 株式会社デンソー In-vehicle electronic control unit and how to replace the same electronic control unit
JP3969494B2 (en) * 2004-08-31 2007-09-05 三菱電機株式会社 In-vehicle electronic control unit
JP4817836B2 (en) 2004-12-27 2011-11-16 株式会社東芝 Card and host equipment
JP4458179B2 (en) * 2008-03-27 2010-04-28 トヨタ自動車株式会社 Fault detection device, fault detection system, fault detection method
JP4414470B1 (en) * 2008-10-10 2010-02-10 本田技研工業株式会社 Generating reference values for vehicle fault diagnosis
JP2011231698A (en) * 2010-04-28 2011-11-17 Suzuki Motor Corp Onboard electronic control device
JP5206737B2 (en) * 2010-06-11 2013-06-12 株式会社デンソー Electronic control device and information management system
JP5531161B2 (en) * 2011-05-25 2014-06-25 トヨタ自動車株式会社 Vehicle communication device
KR101600460B1 (en) * 2013-06-17 2016-03-08 한국산업기술대학교산학협력단 System for electric control unit upgrade with security functions and method thereof
KR20150022329A (en) * 2013-08-23 2015-03-04 주식회사 만도 Vehicle Failure Information Recording Apparatus and Method thereof
JP2016203719A (en) * 2015-04-17 2016-12-08 株式会社デンソー Memory management device, authentication center and authentication system
JP6585113B2 (en) * 2017-03-17 2019-10-02 株式会社東芝 Data storage device
JP7029366B2 (en) * 2018-08-30 2022-03-03 日立Astemo株式会社 Electronic control device for automobiles
BR112021018368A2 (en) * 2019-03-15 2021-11-23 Tvs Motor Co Ltd Portable wireless connected diagnostic system for a vehicle
CN112905207A (en) * 2021-03-16 2021-06-04 深圳市轱辘车联数据技术有限公司 ECU data flashing method, ECU data flashing device, vehicle-mounted terminal and medium
CN115096604A (en) * 2022-06-16 2022-09-23 北斗星通智联科技有限责任公司 Vehicle fault state detection method and device

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004218614A (en) 2003-01-17 2004-08-05 Mitsubishi Electric Corp Electronic control device mounted in vehicle
JP2007310916A (en) 2007-09-03 2007-11-29 Renesas Technology Corp Memory card
JP2009199515A (en) 2008-02-25 2009-09-03 Hitachi Ltd Vehicle control device
JP2014086089A (en) 2012-10-19 2014-05-12 Samsung Electronics Co Ltd Security management unit and host controller interface including the same, and operation method thereof, and computer system including host controller interface
JP2015079402A (en) 2013-10-18 2015-04-23 ソニー株式会社 Memory control unit, memory device, information processing system and memory control method thereof
JP2018116510A (en) 2017-01-18 2018-07-26 トヨタ自動車株式会社 Unauthorized access determination system and unauthorized access determination method
JP2018194909A (en) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 Information processing device and abnormality coping method
US20180357184A1 (en) 2017-06-09 2018-12-13 Intel Corporation Fine-grained access host controller for managed flash memory
WO2018230280A1 (en) 2017-06-14 2018-12-20 住友電気工業株式会社 External communication system for vehicle, communication control method, and communication control program
US20190102114A1 (en) 2017-10-02 2019-04-04 Western Digital Technologies, Inc. Storage protection unit

Also Published As

Publication number Publication date
US20220138353A1 (en) 2022-05-05
US11983304B2 (en) 2024-05-14
WO2021010143A1 (en) 2021-01-21
JPWO2021010143A1 (en) 2021-01-21
EP3989075A1 (en) 2022-04-27
CN114127726A (en) 2022-03-01
EP3989075A4 (en) 2022-08-17
EP3989075B1 (en) 2023-10-25

Similar Documents

Publication Publication Date Title
US10549760B2 (en) Systems and methods for handling a vehicle ECU malfunction
US9205809B2 (en) Vehicle unit and method for operating the vehicle unit
CN109670319B (en) Server flash safety management method and system thereof
CN109923518B (en) Software update mechanism for safety critical systems
CN111158945B (en) Kernel fault processing method, device, network security equipment and readable storage medium
KR101027415B1 (en) Managing system of operating system for vehicle, managing method and error detecting method of the same
WO2017080225A1 (en) Data partition recovery method and apparatus and terminal
US8140836B2 (en) Information processing apparatus and program
CN112181459B (en) CPLD upgrade optimization method and system
JP2004126854A (en) Attack countermeasure system
CN113868023B (en) Snapshot method and device of storage system, electronic equipment and readable storage medium
JP2013136358A (en) Vehicle control device and software part
JP7246032B2 (en) In-vehicle secure storage system
KR100892370B1 (en) Anticollision System Among Diagnosis Terminals and Method thereof
JP5104479B2 (en) Information processing device
CN108197041B (en) Method, device and storage medium for determining parent process of child process
CN109799992B (en) Method for checking software buffer area range of urban rail transit signal system
US20200274901A1 (en) Security design planning support device
JP5422490B2 (en) Computer system and I / O fault card identification method
US10241892B2 (en) Issuance of static analysis complaints
CN116834551A (en) Vehicle backup alarm method, system, device, electronic equipment and storage medium
CN102549550B (en) Method and system for data access
WO2022255005A1 (en) Monitoring system, monitoring method, monitoring device, and function restricting device
US7069471B2 (en) System PROM integrity checker
JPH04326423A (en) Version-up control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230303

R151 Written notification of patent or utility model registration

Ref document number: 7246032

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151